Naczelny Sąd Administracyjny wyrokiem z 24 listopada 2025 r. oddalił skargę kasacyjną właściciela kliniki stomatologicznej, który próbował uniknąć kary nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych. Sprawa jest o tyle ciekawa, że pokazuje, jak bardzo nie warto lekceważyć decyzji organu nadzorczego – i jak daleko niektórzy przedsiębiorcy potrafią się posunąć, żeby uniknąć odpowiedzialności.
Były pracownik skopiował dane pacjentów
Cała historia zaczęła się w lipcu 2019 r., kiedy właściciel kliniki stomatologicznej sam zgłosił Prezesowi UODO naruszenie ochrony danych osobowych. Okazało się, że były pracownik kliniki w sposób nieuprawniony skopiował dane osobowe pacjentów, zamierzając wykorzystać je do celów marketingowych własnej działalności. Prezes UODO wydał w tej sprawie decyzję nakazującą przedsiębiorcy zawiadomienie wszystkich osób dotkniętych tym incydentem.
I tutaj zaczęły się problemy.
Strategia: unikanie, mętne wyjaśnienia i przerzucanie odpowiedzialności
Gdy Prezes UODO rozpoczął postępowanie sprawdzające wykonanie swojej decyzji, przedsiębiorca zastosował taktykę, którą można by określić jako „na przeczekanie". Najpierw unikał odpowiedzi na wezwania do potwierdzenia wykonania nakazu. Potem zaczął przedstawiać wyjaśnienia, które były – delikatnie mówiąc – niespójne. Twierdził m.in., że nie wie, ilu osób dane zostały ujawnione, albo że nie wie, jak wykonać nakaz organu nadzorczego.
Najbardziej zaskakujący był jednak argument, że to Prezes UODO powinien sam dokonać zawiadomień osób poszkodowanych incydentem w klinice. Takie podejście stoi w oczywistej sprzeczności z przepisami RODO, które odpowiedzialność za ochronę danych nakładają jednoznacznie na administratora, czyli w tym wypadku na właściciela kliniki.
Faktura za 37 znaczków pocztowych jako „dowód"
Gdy presja ze strony UODO rosła, przedsiębiorca wreszcie przedstawił „dowody" wykonania nakazu. Były to faktura za zakup 37 znaczków pocztowych oraz pisemne oświadczenie osoby, która jako rzekomy pracownik poczty miała skierować pisma do wysłania przesyłkami zwykłymi, czyli nierejestrowanymi. Innymi słowy – nie było żadnej możliwości zweryfikowania, czy te listy w ogóle dotarły do adresatów.
Prezes UODO słusznie nie uznał takich „dowodów" za wiarygodne i nałożył na przedsiębiorcę administracyjną karę pieniężną w wysokości 85 588 zł za niewykonanie nakazu orzeczonego prawomocną decyzją.
Ironią losu jest to, że tuż po doręczeniu decyzji o karze przedsiębiorca nagle przedstawił bezsporne dowody prawidłowego wykonania nakazu – kopie pism i potwierdzenia ich wysłania listami poleconymi. Tyle że było już za późno.
NSA: spóźnione wykonanie nakazu nie chroni przed karą
Przedsiębiorca zaskarżył decyzję UODO do Wojewódzkiego Sądu Administracyjnego w Warszawie, a gdy ten oddalił jego skargę w listopadzie 2021 r., złożył skargę kasacyjną do NSA. Argumentował, że ostatecznie przedstawił bezsporne dowody wykonania nakazu.
Naczelny Sąd Administracyjny w wyroku z listopada 2025 r. nie podzielił tej argumentacji. Sąd stwierdził jasno, że działanie przedsiębiorcy było spóźnione – Prezes UODO ocenia sprawę według stanu na dzień wydania decyzji. NSA podkreślił również, że to na przedsiębiorcy spoczywał obowiązek posiadania dokumentów potwierdzających zawiadomienie osób dotkniętych naruszeniem. Wynika to wprost z zasady rozliczalności, która jest jednym z fundamentalnych obowiązków przedsiębiorców w ramach RODO.
UODO sygnalizuje: będziemy karać za ignorowanie naszych decyzji
Komunikując o tej sprawie, Prezes UODO zwrócił uwagę na istotny instrument, który ma w swojej dyspozycji – administracyjną karę pieniężną za „nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy". To środek niezależny od grzywien wymierzanych w ramach egzekucji administracyjnej i – co istotne – zdecydowanie bardziej dolegliwy.
Organ nadzorczy wprost zapowiedział, że zamierza stosować ten środek w sytuacjach umyślnego, notorycznego lub lekceważącego niewykonywania nakazów jego decyzji. To ważny sygnał dla wszystkich administratorów danych – kary za nieprzestrzeganie RODO mogą dotyczyć nie tylko samych naruszeń przepisów o ochronie danych, ale również ignorowania decyzji organu nadzorczego wydanych w ich następstwie.
Co z tego wynika dla przedsiębiorców?
Sprawa właściciela kliniki stomatologicznej to podręcznikowy przykład tego, jak nie należy postępować po naruszeniu ochrony danych osobowych. Paradoksalnie, sam incydent – skopiowanie danych przez byłego pracownika – mógłby zostać potraktowany łagodnie, gdyby przedsiębiorca po prostu wykonał nakaz UODO i prawidłowo zawiadomił osoby dotknięte naruszeniem.
Zamiast tego wybrał strategię uników i wymijających odpowiedzi, a gdy wreszcie zdecydował się wykonać nakaz, zrobił to zbyt późno i w sposób niemożliwy do zweryfikowania. Efekt? Kara ponad 85 tys. zł potwierdzona przez dwie instancje sądowe. Lekcja jest prosta: nakazy Prezesa UODO trzeba wykonywać terminowo, a ich wykonanie dokumentować w sposób niebudzący wątpliwości.
Obserwuj nas w Google Discover
Podobają Ci się nasze treści?
Google Discover
